تحلیل ساختار ارسال در برابر بررسی لینک‌ها برای شناسایی فیشینگ

تصور کنید یک پیامک بانکی دریافت می‌کنید که می‌گوید حساب شما مسدود شده است؛ تفاوت بین یک هشدار واقعی و یک کلاهبرداری پیچیده، تنها در چند کلمه اول پیام نهفته است. طبق گزارش منتشر شده در ۲۲ ژوئن ۲۰۲۶، شرکت مدیاوکس (Mediavox) دریافت که ۷۰٪ پیام‌های فیشینگ در آمریکای لاتین را می‌توان حتی پیش از تحلیل لینک‌ها شناسایی کرد.

این موفقیت از طریق یک تغییر ساده در تحلیل جایگاه کلمات رخ داده است. در حالی که اعلان‌های رسمی بانک‌ها نام برند را در پایان پیام به عنوان امضا می‌آورند، کلاهبرداران برای جعل هویت فرستنده، نام برند را در ابتدای متن قرار می‌دهند. همان‌طور که در تحلیل‌های قبلی ما درباره‌ی امنیت مدل‌های زبانی اشاره کردیم، الگوهای رفتاری محلی اغلب کلیدی‌تر از تحلیل‌های کلی هستند.

ابزارهای امنیتی متمرکز بر زبان انگلیسی معمولاً در این ناحیه شکست می‌خورند؛ زیرا الگوهای فوریت در زبان اسپانیایی و نام‌های مستعار برندها در کشورهایی مثل مکزیک و کلمبیا را نمی‌شناسند. بر اساس مستندات مدیاوکس، اگر نام برند در بازه ۰ تا ۲ کلمه اول پیام ظاهر شود، این یک نشانه اصلی برای تقلب است.

برای رسیدن به یک حکم قطعی، مدیاوکس هفت سیگنال متمایز را با هم ترکیب می‌کند:

• جایگاه برند: امتیاز ۰.۹ برای حضور در ابتدا و ۰.۱ برای حضور در انتها.
• عمر دامنه: شناسایی دامنه‌های کمتر از ۷ روز از طریق فراخوانی‌های RDAP.
• تحلیل زبانی: شناسایی الگوهای فوریت و فراخوان‌های اقدام (CTA) در زبان اسپانیایی با استفاده از Regex.
• بررسی‌های فنی: دنبال کردن مسیرهای تغییر yön در کوتاه‌کننده‌های URL و تطبیق با API Safe Browsing.

این سامانه همچنین از الگوریتم فاصله لون‌اشتاین (Levenshtein distance) برای شناسایی غلط‌های نوشتاری عمدی (Typosquatting) استفاده می‌کند؛ مثلاً شناسایی "Banamx" به جای "Banamex" در میان ۲۶۳ نام مستعار برند منطقه‌ای. بر اساس بررسی منابع متعدد، این رویکرد چندلایه بیش از ۱۰ هزار پیام واقعی را با دقت ۹۴٪ و تأخirli کمتر از ۲۰۰ میلی‌ثانیه پردازش کرده است.

این نتیجه ثابت می‌کند که سیگنال‌های مبتنی بر تحلیل‌های محلی و قواعد سرانگشتی (Heuristics) می‌توانند در مناطق پرخطر، عملکرد بهتری نسبت به مدل‌های جهانی داشته باشند. در واقع تمرکز از «مقصد» (لینک) به «الگوی ارسال» (ساختار پیام) تغییر یافته است.

گام بعدی شما

• برنامه‌نویسان می‌توانند منطق شناسایی الگوهای منطقه‌ای را از طریق Mediavox API آزمایش کنند.
• از لایه رایگان ۵۰۰ تحلیل ماهانه برای شناسایی تهدیدات در بازارهای هدف خود استفاده کنید.
• ساختار پیام‌های خروجی سیستم‌های خود را بررسی کنید تا با الگوهای اعتماد-ساز (مانند امضای انتهایی) مطابقت داشته باشند.

اما تأثیر این رویکرد بر شناسایی کلاهبرداری‌های صوتی حتی پیچیده‌تر است — به تحلیل ما درباره‌ی جعل عمیق صدا مراجعه کنید.